Kaspersky reporta cibertaques en los Juegos Olimpiadas por culpa de este virus

El malware Olympic Destroyer proporciona evidencia técnica de una bandera falsa muy avanzada que fue colocada con el objetivo de confundir y encubrir al autor de este ataque.

(Foto: Captura)

El equipo mundial de investigación y análisis de Kaspersky Lab ha publicado los resultados de su propia averiguación sobre los ataques del malware Olympic Destroyer, proporcionando evidencia técnica de una bandera falsa muy avanzada que fue colocada por el creador del malware dentro del gusano con el fin de alejar a los cazadores de amenazas de su origen real.

El gusano Olympic Destroyer se ganó algunos titulares durante los Juegos Olímpicos de Invierno de Pyeongchang. Los Juegos experimentaron un ataque cibernético que temporalmente paralizó los sistemas de TI antes de la ceremonia de inauguración oficial; apagó los monitores, eliminó las redes Wi-Fi y dejó sin funcionar el sitio web oficial de la competencia, de manera que los visitantes no pudieran imprimir sus boletos.

Sin embargo, el verdadero interés de la industria de ciberseguridad no radica en el daño potencial o incluso real causado por los ataques del gusano Destroyer, sino en el origen del malware. Quizás ningún otro malware avanzado haya sido objeto de tantas hipótesis de atribución como el Olympic Destroyer.
A los pocos días de su descubrimiento, los equipos de investigación de todo el mundo habían logrado atribuir este malware a Rusia, China y Corea del Norte; basándose en una serie de características atribuidas con anterioridad a agentes de ciberespionaje y el sabotaje supuestamente basados en estos países o trabajando para los gobiernos de estos países.

Los investigadores de Kaspersky también intentaban comprender qué grupo de hackers estaba detrás de este malware. En algún momento de la investigación, se encontraron con algo que parecía una evidencia que conectaba el malware con Lazarus al 100%, un infame grupo respaldado por el estado y vinculado a Corea del Norte.

Esta conclusión se basó en un rastro único dejado por los atacantes, ya que una combinación de ciertas características del entorno de desarrollo del código almacenadas en los archivos puede utilizarse como una “huella dactilar”, en algunos casos para identificar a los autores del malware y sus proyectos.
Como resultado, se concluyó que la “huella dactilar” de las características, es una bandera falsa muy avanzada, colocada intencionalmente dentro del malware para dar a los cazadores de amenazas la impresión de que habían encontrado pruebas decisivas, lo que les desviaba de la pista hacia una atribución más precisa.

“Hasta donde sabemos, la evidencia que pudimos encontrar no se había utilizado previamente para llegar a una atribución. Sin embargo, los atacantes decidieron usarla, prediciendo que alguien la encontraría. Contaban con el hecho de que la falsificación de este artefacto es muy difícil de probar. Es como si un criminal hubiera robado el ADN de otra persona y lo hubiera dejado en la escena del crimen en vez del suyo. Descubrimos y probamos que el ADN encontrado en la escena del crimen fue dejado allí a propósito. Todo esto demuestra cuánto esfuerzo están dispuestos a gastar los atacantes para permanecer sin ser identificados durante el mayor tiempo posible. Siempre hemos dicho que la atribución en el ciberespacio es muy difícil, ya que se pueden falsificar muchas cosas, y Olympic Destroyer es una ilustración bastante precisa de esto”, dijo Vitaly Kamluk, Director del equipo de investigación de la región APAC en Kaspersky Lab.

Ver información original al respecto en Fuente: